前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全措施范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全措施范文第1篇

關鍵詞：MIS開發(fā)及應用　安全措施

隨著企業(yè)信息化發(fā)展的強烈需要，企業(yè)開發(fā)及應用管理信息系統(tǒng)MIS(Management Information System)成為一種必然選擇，企業(yè)信息安全事件的發(fā)生率也開始呈現(xiàn)出大幅度增長的態(tài)勢。如何更有效地保護和管理自身的信息資產(chǎn)，如何保證和加強企業(yè)MIS的安全，已成為企業(yè)亟待解決的課題。

一、MIS存在的安全問題

(一)安全意識薄弱

在MIS的開發(fā)與應用過程中，經(jīng)常出現(xiàn)領導部門對制定一個統(tǒng)一的信息安全系列標準不夠重視，對指導MIS的管理和應用不夠關心；各子系統(tǒng)管理人員沒有管好自己的用戶名和口令，外泄或借與他人使用；不重視MIS的硬件部分、軟件部分、環(huán)境因素等現(xiàn)象，對于安全防范存在一種惰性和漠視，安全意識薄弱。

(二)投入經(jīng)費不足

由于安全意識薄弱，企業(yè)往往對MIS安全經(jīng)費投入不足，致使企業(yè)在應用MIS過程中，經(jīng)常出現(xiàn)使用各種盜版軟件，不能安裝專業(yè)防火墻等現(xiàn)象。使得Intemet網(wǎng)上用戶對MIS服務器可以直接攻擊，外界病毒易于感染MIS服務器等現(xiàn)象，導致企業(yè)MIS安全問題頻發(fā)。給企業(yè)帶來巨大的經(jīng)濟損失。

(三)技術力量匱乏

信息安全從業(yè)人員不只縱向上要對各項工作有精深的理解，橫向上還需要對信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務邏輯有豐富的認知，特別是在經(jīng)驗上往往有相當高的要求，這從很大程度上造成了企業(yè)很難具備足夠的技術力量來保障信息安全設施的運轉。

二、開發(fā)過程中的安全措施

管理信息系統(tǒng)作為一個龐大、復雜而嚴密的系統(tǒng)，在整個開發(fā)過程中需要投入大量的人力、物力和財力，系統(tǒng)的安全性往往被放在首要的位置，成為系統(tǒng)生存的關鍵因素。

(一)權限設計

根據(jù)對操作系統(tǒng)的用戶、用戶組及其訪問權限作嚴格的規(guī)定，在數(shù)據(jù)表設計時將權限分為三類：數(shù)據(jù)庫登錄權限類、資源管理權限類和數(shù)據(jù)庫管理員權限類。具有數(shù)據(jù)庫登錄權限的用戶能進入數(shù)據(jù)庫管理系統(tǒng)，使用數(shù)據(jù)庫。具有資源管理權限的用戶，除了擁有上一類用戶權限外，可以在權限允許的范圍內(nèi)修改、查詢數(shù)據(jù)庫。具有數(shù)據(jù)庫管理員權限的用戶將具有數(shù)據(jù)庫管理的一切權限，包括訪問任何用戶的任何數(shù)據(jù)，授予(或回收)用戶的各種權限，完成數(shù)據(jù)庫的備份、裝入以及進行審計等工作。

(二)數(shù)據(jù)加密

數(shù)據(jù)加密技術是在發(fā)送方將要發(fā)送的保密信息進行加密處理，而在接收方通過特定的算法將收到的信息進行解密。在加密過程中使用加密函數(shù)和密鑰生成密文數(shù)據(jù)后，傳送出去。傳送過程中即使有人得到了密文數(shù)據(jù)，知曉了加密函數(shù)或是解密函數(shù)是沒有用的，沒有密鑰，依舊無法根據(jù)密文數(shù)據(jù)推算出明文數(shù)據(jù)，這就保證了數(shù)據(jù)的機密性。數(shù)據(jù)加、解密過程如下圖1所示。

(三)數(shù)據(jù)認證 　 MIS的信息傳送或存儲還可以采用數(shù)據(jù)認證技術(如數(shù)字簽名技術、Hash技術等)。數(shù)據(jù)認證技術是確保信息的真實性和完整性的一種技術，是解決網(wǎng)絡通信中發(fā)生否認、偽造、冒充、篡改等問題的安全技術，主要包括接收者能夠核實發(fā)送者對報文的簽名、發(fā)送者事后不能抵賴對報文的簽名、接收者不能偽造對報文的簽名等方面。

(四)密鑰管理

一個密碼系統(tǒng)的安全性取決于對關鍵信息即密鑰的保護。密鑰的保密和安全管理在數(shù)據(jù)安全系統(tǒng)中是極為重要的。在／diS中，可以采用證書機構(CA)來管理密鑰。CA(cerfificateAuthority)保證頒發(fā)的數(shù)字證書的有效性，由它負責注冊證書，分發(fā)證書以及當證書過期時宣布不再有效，因此可以保護密鑰。

三、實施過程中安全措施

不管企業(yè)MIS采用C／S結構還是B／S結構，在實施過程中必須與Internet連接。在具體實施中應從企業(yè)網(wǎng)絡內(nèi)部、企業(yè)網(wǎng)絡與Intemet的連接出口方面加強安全措施：

(一)企業(yè)局域網(wǎng)安全措施

1　局域網(wǎng)節(jié)點安全措施

在企業(yè)局域網(wǎng)應用中，只要在接人局域網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個局域網(wǎng)上的所有數(shù)據(jù)包，從而竊取關鍵信息，這就是局域網(wǎng)固有的安全隱患。為了解決這個問題，可以采取以下措施：

(1)分段策略

分段策略包括物理分段和邏輯分段兩種方式。物理分段是從物理層和數(shù)據(jù)鏈路層把網(wǎng)絡分成若干網(wǎng)段，各網(wǎng)段無法直接通信；邏輯分段是在網(wǎng)絡層根據(jù)IP地址將網(wǎng)絡分成若干子網(wǎng)，各子網(wǎng)借助網(wǎng)關自身安全機制來控制各子網(wǎng)的相關訪問。因此應綜合應用物理分段與邏輯分段兩種方法，將非法用戶與敏感的網(wǎng)絡資源相互隔離，從而防止可能的非法偵聽。

(2)交換式集線器策略

由于部分網(wǎng)絡最終用戶的接入是通過分支集線器而不是交換機，當用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包會被同一臺集線器上的其他用戶所偵聽。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。

(3)VLAN(虛擬局域網(wǎng))策略

在集中式網(wǎng)絡環(huán)境下，將中心的所有主機系統(tǒng)集中到一個VLAN里，不允許任何用戶節(jié)點接人，從而較好地保護敏感的主機資源。在分布式網(wǎng)絡環(huán)境下，MIS應按機構或部門的設置來劃分VLAN，各部門內(nèi)部的所有服務器和用戶節(jié)點都在各自的VLAN內(nèi)，互不侵擾。

2　局域網(wǎng)服務器安全措施

在局域網(wǎng)的服務器中。由于存在著大量的數(shù)據(jù)庫實體及擁有不同操作權限的用戶，用戶可對數(shù)據(jù)庫實體進行任意操作。針對這些嚴重的安全漏洞，可以采取如下安全措施：

(1)兩級登錄機制

為每個數(shù)據(jù)庫用戶只建立一個真正的數(shù)據(jù)庫賬號，它具有對系統(tǒng)應用所涉及的所有數(shù)據(jù)實體進行操作的全部權限；為每一位系統(tǒng)操作人員分別創(chuàng)建一個應用系統(tǒng)賬號。用戶先使用應用系統(tǒng)賬號登錄應用系統(tǒng)，應用系統(tǒng)再將應用級賬號變換為數(shù)據(jù)庫系統(tǒng)賬號，然后應用系統(tǒng)用數(shù)據(jù)庫系統(tǒng)賬號登錄數(shù)據(jù)庫。僅在兩級登錄都成功的前提下，整個登錄過程才算成功，數(shù)據(jù)庫系統(tǒng)便能識別登錄應用系統(tǒng)的用戶身份。

(2)用戶授權機制

將整個系統(tǒng)細分為若干個可分配的最小權限單元，這些權限具體表現(xiàn)在對數(shù)據(jù)庫中所涉及的表、視圖的數(shù)據(jù)操作的劃分上。然后再運用角色或工作組的概念，結合各級系統(tǒng)使用人員的工作性質，為系統(tǒng)創(chuàng)建了4類基本等級：系統(tǒng)管理員、高級操作員、一般操作員及簡單操作員，并相應地為每個等級賦予了不同的權限，以此來簡化權限管理工作。

(3)日志檢測機制

在MIS系統(tǒng)中。通過日志記錄，可以審核執(zhí)行某操作的用戶，執(zhí)行操作的機器m地址、操作類型、操作對象及操作執(zhí)行時間等。這樣不僅可以分類檢索日志內(nèi)容，系統(tǒng)還能根據(jù)已記錄的日志內(nèi)容，自動找出可能存在的不安全因素，并實時觸發(fā)相應的警告，及時通知系統(tǒng)管理員及用戶。

(4)備份及恢復機制

為了防止人為的失誤或破壞，MIS系統(tǒng)中應建立強大的數(shù)據(jù)庫觸發(fā)器以備份重要數(shù)據(jù)的刪除操作，甚至更新任務。具體而言，對于刪除操作，作的記錄全部存貯在備份庫中。而對于更新操作，考慮到信息量過于龐大，可只備份所執(zhí)行的SQL語　句。這樣，既能查看到備份的內(nèi)容，又能相當程度地減小備份庫存貯容量。

(二)企業(yè)網(wǎng)絡出口安全措施

1　VPN技術

VPN(VirtualPrivate Network)是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。VPN技術的核心是采用隧道技術，將企業(yè)專用網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的專用通道進行傳輸，保證傳輸內(nèi)容僅被指定的發(fā)送者和接收者了解，從而防止敏感數(shù)據(jù)的被竊取。

2　防火墻技術

在Intemet和Inh'anet的連接部分，利用防火墻技術，使得通過外部撥號或其他方式訪問企業(yè)網(wǎng)絡部分功能時，可以很好的控制該用戶的訪問權限和操作級別，可以有效地防止惡意的外部用戶的進攻。

3　技術

企業(yè)信息安全措施范文第2篇

供電企業(yè)在建設初期就已經(jīng)考慮到了信息安全防護問題——將主要設備，例如服務器、路由器和核心交換機等統(tǒng)一管理，通信線路要盡可能架空、深埋或者穿線，并做出必要的標記，避免線路被損壞。在此過程中，供電企業(yè)不但要保護設備，實施必要的安全技術操作，同時，還要在實施基本策略的前提下，采取必要的網(wǎng)絡安全管理技術，例如防毒技術和防火墻技術等，保證信息安全。入網(wǎng)規(guī)范管理設備屬于硬件網(wǎng)絡控制設備，在供電企業(yè)的機房中加入入網(wǎng)規(guī)范管理設備，能夠檢測出信息安全和一些違規(guī)行為。入網(wǎng)規(guī)范管理設備不會大規(guī)模地改變已經(jīng)存在的網(wǎng)絡結構，并且它的網(wǎng)絡環(huán)境適應能力非常強，不需要安裝客戶端就能將其接入系統(tǒng)中，能夠自動檢測信息安全，主要包括注冊、防病毒、更新、弱口令和違規(guī)外聯(lián)等，進而修復存在風險的機器。因為供電企業(yè)內(nèi)部從事信息工作的人員年紀差比較大，對信息技術的了解程度也不同，所以，這就為信息安全埋下了隱患。

安裝入網(wǎng)規(guī)范管理設備的操作比較簡單，不但會增強供電企業(yè)的安全防護能力，還為工作人員的工作帶來了便利，減輕了工作人員的壓力。當供電企業(yè)有人動時，就會出現(xiàn)網(wǎng)絡接口不夠用的情況，因此，很多人便利用集線器拓展網(wǎng)絡，這便為公司的信息安全埋下了隱患，不但容易引發(fā)廣播風暴，還會干擾公司整體網(wǎng)絡的穩(wěn)定性，讓一些不法分子有機可乘——侵入公司內(nèi)網(wǎng)，泄露公司機密。所以，針對這種情況，建議采取添加交換機的方式，并配置端口安全策略，即interfacefastethernet<number>；switchportport-securitymaximumvalue。對于公司信息外網(wǎng)，要檢查私自連接無線路由器、隨身wifi等情況，如果發(fā)現(xiàn)，要馬上制止，防止信息被泄露，以確保供電企業(yè)的信息安全。隨著供電企業(yè)內(nèi)部網(wǎng)絡的發(fā)展和壯大，需要加入新的網(wǎng)絡設備、服務器設備、終端設備和存儲設備等。當網(wǎng)絡處于一個復雜的環(huán)境中時，就很難處理網(wǎng)絡故障了。針對這類問題，可以在機房安裝網(wǎng)絡分析設備，對系統(tǒng)進行網(wǎng)絡故障分析、應用分析和安全分析，獲取網(wǎng)絡流量，通過分析解碼能夠快速定位網(wǎng)絡故障，進而有效維護網(wǎng)絡安全。網(wǎng)絡分析系統(tǒng)能夠分析數(shù)據(jù)包網(wǎng)絡，檢測深度網(wǎng)絡通訊，準確、快速地找到蠕蟲、網(wǎng)絡攻擊或木馬等，并對其進行診斷，快速定位將要發(fā)生問題的機器，幫助信息運行維護工作人員及時處理問題。

2管理策略

對于病毒防護的管理，要安排專業(yè)工作人員定期查看木馬病毒的感染情況，及時處理受到感染的用戶，并為每位工作人員發(fā)放設備安全說明，讓工作人員從自身做起，保障信息安全。供電企業(yè)可以對工作人員進行安全意識培訓和技能培訓，尤其是管理信息系統(tǒng)的工作人員，不斷提高其業(yè)務能力，補充更多的專業(yè)知識。在供電企業(yè)的每一個區(qū)域配備專門的信息安全負責人，并對其定時培訓，加大信息安全的維護力度。針對一些特殊崗位的工作人員，要實施有針對性的培訓，以不斷提升各個崗位工作人員的管理能力和技術能力。

3總結

企業(yè)信息安全措施范文第3篇

關鍵詞：電力企業(yè)；信息安全；管理；探討

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

電力企業(yè)的信息化建設在生產(chǎn)自動化、管理信息化、營銷現(xiàn)代化等方面發(fā)揮了重要作用。然而，隨著網(wǎng)絡的延伸、應用的普及和不斷深化，特別是隨著網(wǎng)絡技術的迅速發(fā)展，信息安全問題日益突出。研究電力系統(tǒng)信息安全問題、制定和實施電力系統(tǒng)信息安全戰(zhàn)略、建立全方位、動態(tài)的電力信息系統(tǒng)安全保障體系，己成為當前電力系統(tǒng)信息化工作的重要內(nèi)容。

一、電力信息安全的含義

電力信息安全是指電力主營業(yè)務系統(tǒng)及企業(yè)信息安全，保障不被未經(jīng)授權者訪問、利用和修改，為合法用戶提供安全、可信的信息服務，保證信息和信息系統(tǒng)的機密性、完整性、可用性、真實性和不可否認性。

二、電力企業(yè)信息安全風險分析

（一）電力信息安全管理風險分析。管理是網(wǎng)絡中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡入侵必須的部分。由于近年計算機信息技術高速發(fā)展，計算機信息安全策略和技術也取得了非常大的進展，但在電力系統(tǒng)各種計算機應用中，對信息安全的認識跟實際需要差距較大安全意識薄弱、責權不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風險。

（二）網(wǎng)絡基礎設施的安全風險分析。網(wǎng)絡基礎設施的安全是整個網(wǎng)絡系統(tǒng)安全的前提。目前電力企業(yè)在機房建設（包括水源、消防、門禁等）、重要設備的訪問管理方面都存在缺陷，亟待解決。如在網(wǎng)絡介質的安全方面由于大都采用內(nèi)部專用網(wǎng)絡，但樓層交換機的機柜位置不安全，非管理人員可以隨時接觸到，這給內(nèi)部的攻擊或竊密行為提供方便之門。

（三）電力企業(yè)信息網(wǎng)絡連接安全風險分析。電力企業(yè)的部分用戶由于工作需要連接了因特網(wǎng)，同時沒有服務器供外部訪問，用戶連接因特網(wǎng)時沒有做到與內(nèi)網(wǎng)的物理隔離，這給網(wǎng)絡帶來危害；局域網(wǎng)內(nèi)部用戶有意或無意對系統(tǒng)進行了攻擊和竊密行為；內(nèi)部其它單位用戶對本網(wǎng)絡的攻擊行為，類似因特網(wǎng)外部連接風險等眾多因素也都對網(wǎng)絡安全構成了威脅。此外，受人員水平、設備性能等方面因素制約，使整個電力信息網(wǎng)的外部邊界保護能力存在一定差異，必然降低整體邊界安全防護能力。

（四）支撐基礎設施的安全風險分析。許多電力企業(yè)沒有完整的備份策略，備份工作沒有計劃，備份不及時，沒有備份恢復預案；介質管理不規(guī)范，沒有對備份介質做庫存、領取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災難恢復計劃要素的所處的水平較低，應重點加快制定有關災難恢復的管理制度，以及備份設備的更新。

三、電力企業(yè)信息安全防范措施

（一）電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門，至少應配備2名安全專職管理人員，明確權利與責任，分別負責各系統(tǒng)的安全審計，并相互制約。2.完善信息安全管理制度。參照國際最佳實踐，建立一套完整的制度體系，形成省、地兩級安全管理體系。3.加強信息安全教育培訓。安全意識和相關技能的教育是企業(yè)安全管理中的重要內(nèi)容。高級管理部門應當對全體員工，特別是中高級管理人員進行信息安全管理制度培訓，強化信息安全意識。

（二）電力信息安全技術措施。1.加強網(wǎng)絡信息安全基礎設施建設。建立電力企業(yè)信息系統(tǒng)物理各環(huán)境的安全目標防止對企業(yè)工作場所和信息的非法訪問、破壞和干擾或避免造成資產(chǎn)的流失、受損。建立省電網(wǎng)級認證授權中心，提供目錄服務、身份管理、認證管理、訪問管理等功能，實現(xiàn)主機系統(tǒng)、網(wǎng)絡設備、安全設備、應用系統(tǒng)等的統(tǒng)一身份認證管理。對電力企業(yè)重要網(wǎng)絡設備配置文件進行完整性檢查保護，防止主機系統(tǒng)及網(wǎng)絡設備配置文件的篡改，對系統(tǒng)文件遭到修改及破壞可以及時發(fā)現(xiàn)修復。2.網(wǎng)絡控制技術。網(wǎng)絡控制是網(wǎng)絡安全防范和保護的主要策略，主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。主要包括：（1）防火墻技術。（2）審計技術。（3）訪問控制技術。（4）安全協(xié)議。3.備份恢復技術。備份恢復技術主要包括備份技術、冗余技術、容錯技術和不間斷電源保護4個方面的內(nèi)容。備份恢復與容災中心具有關聯(lián)性，建立容災中心的單位應每年至少進行一次災備恢復的演練，沒有容災中心的單位應將營銷、生產(chǎn)、財務等核心數(shù)據(jù)定期進行異地備份，并定期進行備份恢復演練，提升應對自然災害的能力。

四、結束語

企業(yè)信息安全措施范文第4篇

關鍵詞：分布式；信息安全；規(guī)劃；方案

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統(tǒng)籌安排，分步實施；分級管理，責任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標

信息系統(tǒng)安全規(guī)劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的，而且應該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構，達到國際國內(nèi)標準的要求；

2）打造一支具有專業(yè)水準的、過硬本領的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉的支撐系統(tǒng)，能夠對外提供安全服務平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業(yè)而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標

信息安全管理規(guī)劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓體系，一套信息安全風險監(jiān)管機制，一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關于信息安全工作應達到的要求，在信息安全規(guī)范方面，根據(jù)調查，建立信息安全管理規(guī)范、信息安全技術規(guī)范。其中，安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規(guī)范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態(tài)度而給出的評價依據(jù)，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監(jiān)管機制

信息安全監(jiān)管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業(yè)人員的信息安全意識和技能，增強企業(yè)信息安全能力。

5 信息安全技術規(guī)劃

5.1 技術規(guī)劃目標

信息安全技術規(guī)劃目標簡言之是：給業(yè)務運營提供信息安全環(huán)境，為企業(yè)轉型提供契機，構建信息安全服務支撐系統(tǒng)。具體目標如下：

1）打造信息安全基礎環(huán)境，調整和優(yōu)化IT基礎設施，建立安全專網(wǎng)，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業(yè)業(yè)務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應、安全更新與升級等業(yè)務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎建設，包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖?，綜合測試環(huán)境建設的內(nèi)容包括：安全測試網(wǎng)絡；測試系統(tǒng)設備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡要求能夠模擬企業(yè)網(wǎng)絡真實的帶寬；測試系統(tǒng)設備能夠提供典型的網(wǎng)絡服務流量模擬、典型的應用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實現(xiàn)資產(chǎn)保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業(yè)務規(guī)劃

6.1 服務業(yè)務規(guī)劃目標

信息安全服務業(yè)務規(guī)劃目標簡言之是：以信息安全服務為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領信息安全市場，為企業(yè)轉型創(chuàng)造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運維產(chǎn)品；5）推出面向企業(yè)災害恢復產(chǎn)品。

6.2 服務業(yè)務規(guī)劃設計

服務業(yè)務規(guī)劃主要針對具體業(yè)務而言，在此列舉信息類分布式企業(yè)業(yè)務作為示例：

1）信息安全咨詢類產(chǎn)品，其服務功能主要有：信息安全風險評估；信息安全規(guī)劃設計；信息安全產(chǎn)品顧問。

2）信息安全教育培訓類產(chǎn)品，其服務功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產(chǎn)品，其服務功能主要有：推出“家庭綠色上網(wǎng)”安全服務；家庭上網(wǎng)防病毒服務；家庭上網(wǎng)機器安全檢查服務；家庭上網(wǎng)機數(shù)據(jù)備份服務。

4）企業(yè)類安全服務產(chǎn)品，其服務功能主要有：企業(yè)安全上網(wǎng)控制服務；企業(yè)安全專網(wǎng)服務；安全信息通告；企業(yè)運維服務。

5）容災類安全服務產(chǎn)品，其服務功能主要有：面向政府數(shù)據(jù)災備服務；面向政府信息系統(tǒng)災備服務；面向企業(yè)數(shù)據(jù)災備服務；面向企業(yè)信息系統(tǒng)災備服務。

7 結束語

通過結合分布式企業(yè)的具體實際，按照信息安全體系結構相關標準，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據(jù)次原則與目標，按照組織、管理和技術三個方面提出了具體的實現(xiàn)與設計規(guī)范原則。最后，依據(jù)服務規(guī)劃目標，提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。

參考文獻：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡動態(tài)安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李瑋. 運營商IT系統(tǒng)網(wǎng)絡架構的安全域劃分[J]. 通信世界,2005,30:41～41,45～45.

企業(yè)信息安全措施范文第5篇

關鍵詞：供電企業(yè);信息安全;電力;網(wǎng)絡信息化

DOI：10.16640/ki.37-1222/t.2015.21.131

0 引言

在我國能源行業(yè)中，供電企業(yè)占有十分重要的地位。目前，供電企業(yè)體制改革正在逐步走向信息智能化，網(wǎng)絡信息系統(tǒng)在供電企業(yè)中的構建也變得日益完善[1-3]。這也使得供電企業(yè)對信息化的依賴程度越來越強，隨之而來的信息安全問題也日益突出[4-6]。因此，構建完善合理的信息安全管理系統(tǒng)已成為供電企業(yè)亟需解決的問題。本文以國家電網(wǎng)遼寧省遼陽縣供電公司為例，分析了目前存在的信息安全問題，并提出了一些改進措施。

1 信息安全存在的問題

供電企業(yè)網(wǎng)絡信息系統(tǒng)面臨的安全問題越來越多，歸結起來主要表現(xiàn)在：系統(tǒng)漏洞;病毒感染;企業(yè)信息安全維護人員不足;人員信息安全意識薄弱;信息安全制度管理不完善等幾個方面。

（1）系統(tǒng)安全漏洞。任何軟件和系統(tǒng)都會存在一定的安全漏洞，所以說絕對安全的系統(tǒng)實際上是不存在的，供電企業(yè)的網(wǎng)絡系統(tǒng)也同樣如此。由于漏洞的存在，病毒、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業(yè)的網(wǎng)絡，甚至可以獲得計算機的管理權限。顯然，這對于供電企業(yè)來說是非常危險的，會導致嚴重的安全問題。

（2）病毒感染。計算機病毒（Computer Virus）是一種編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，具有很強的寄生性、破壞性和傳染性，被稱為計算機系統(tǒng)的頭號敵人。一旦侵入計算機，引發(fā)的危害相當嚴重，會破壞系統(tǒng)文件，偷盜計算機中有用信息，導致系統(tǒng)無法正常運行。在供電企業(yè)中使用信息網(wǎng)絡技術時，由于大量的企業(yè)重要機密和客戶信息儲存在計算機系統(tǒng)中，計算機病毒一旦入侵并破壞計算機系統(tǒng)，系統(tǒng)中收集的重要資料將會丟失，損失是災難性的。

（3）缺乏足夠的系統(tǒng)維護人員。供電企業(yè)信息安全需要一定的專業(yè)技術技術人員來維護，但是在大部分供電企業(yè)中，以作者所在遼陽縣供電公司為例，專門從事網(wǎng)絡信息系統(tǒng)安全維護工作的專業(yè)技術人員僅有5位，這么少的專業(yè)技術人員承擔不了繁重的電力網(wǎng)絡信息安全工作，所以當企業(yè)的網(wǎng)絡信息系統(tǒng)發(fā)生故障時，維護工作得不到有效的實施，進而影響供電企業(yè)的信息安全。

（4）人員信息安全意識薄弱。在供電企業(yè)中應用計算機信息網(wǎng)絡技術時，由于相關電力工作人員安全意識薄弱而導致的企業(yè)信息安全問題時有發(fā)生，大大減弱了供電企業(yè)信息安全防御能力。例如相關技術人員的不認真導致誤操作、未及時修復系統(tǒng)漏洞或者通過外接儲存設備導致機密信息和重要文件的泄露等，這些由工作人員人為因素導致的安全問題將會在很大程度上影響供電企業(yè)的信息安全。

（5）信息安全管理制度不完善。多數(shù)供電企業(yè)的安全制度制定不夠完善，沒有高度重視和落實企業(yè)信息安全制度。經(jīng)常會出現(xiàn)機密文件隨處放、系統(tǒng)口令不設置、打印設備及網(wǎng)絡共享等問題。這些問題的存在同樣也會危害到供電企業(yè)的信息安全。

2 針對供電企業(yè)信息安全問題的相應措施

針對以上所述的信息安全問題，為了有效提高供電企業(yè)網(wǎng)絡信息系統(tǒng)的安全性，我們提出了以下幾個方面的改進措施。

（1）漏洞掃描和彌補漏洞缺陷。漏洞掃描包括基于主機的漏洞掃描和基于網(wǎng)絡的漏洞掃描，是一項既經(jīng)濟又實用的安全策略，及時發(fā)現(xiàn)漏洞并修補，可以防止安全隱患向安全事件的轉變?？舍槍ξ夜居嬎銠C中的數(shù)據(jù)庫、操作系統(tǒng)及應用服務等進行漏洞掃描并修補，做到未雨綢繆，進一步保證網(wǎng)絡信息系統(tǒng)的安全運行。

（2）防止病毒侵入計算機。隨著全球智能電網(wǎng)的推進，供電公司的網(wǎng)絡和辦公也越來越智能信息化，這就給計算機病毒的傳播提供了一個重要的傳播途徑。因此，供電企業(yè)各部門必須建設標準化的個人終端，對病毒軟件做到不間斷的更新，完善補丁。另外需要特別注意的是要嚴格控制盜版軟件的使用，掌握更多的安全措施來防范木馬病毒，嚴格控制用戶訪問權限。

（3）增強信息系統(tǒng)運行維護管理。針對作者所在供電公司，現(xiàn)在尚沒有獨立的部門進行信息系統(tǒng)運行維護，所以首先需要建立獨立的運維部門，并增設足夠的專業(yè)技術人員進行網(wǎng)絡信息運行維護;并對技術人員進行部門內(nèi)分工，制定相應的管理措施，完善整個網(wǎng)絡信息維護流程;另外，需要對專業(yè)技術人員進行定期職業(yè)培訓，提高他們的操作管理水平。

（4）提升員工信息安全防患意識。在適應網(wǎng)絡信息技術潛在的快速發(fā)展要求的基礎上，通過對全體員工采取信息安全培訓與考核等有力措施，使得企業(yè)決策、管理、操作等各個層面的信息安全防范意識得到有效增強，企業(yè)信息安全管理經(jīng)驗也得到大量積累。如此，整個供電企業(yè)的信息安全水平會因為全體員工顯著地信息安全防患意識而得到提升。

（5）改進信息安全管理制度體系。加快三級信息安全管理體系（信息安全管理部門、網(wǎng)絡技術部門以及相關其他職能部門、基層單位）的建設步伐;具體落實針對主機設備、網(wǎng)絡設備、機房其他設施設備（例如防靜電地板、電源、空調、其他附屬設施等）以及員工管理的相應管理制度的制定完善工作;明確管理人員、網(wǎng)絡維護人員、外來人員的職責范圍，確立身份認證制度，涉及機密文件的員工要簽署保密協(xié)議，對外來人員的進出要登記等。

3 結束語

為保障供電企業(yè)的快速可持續(xù)發(fā)展，就要確保企業(yè)信息系統(tǒng)的安全穩(wěn)定，就要在發(fā)現(xiàn)信息安全問題的基礎上不斷改進安全策略，促進合理完善的信息安全管理體系的構建。供電企業(yè)要完善信息安全管理制度，提高員工的信息安全防患意識，增強信息系統(tǒng)的運行維護管理，加強網(wǎng)絡信息的安全監(jiān)控，進而保證供電企業(yè)信息安全。

參考文獻：

[1]吳金文，程麗琴.淺析供電企業(yè)信息安全管理[J].科技與創(chuàng)新，2015（11）：50.

[2]洪杰，段成鐸.電力企業(yè)信息系統(tǒng)風險與安全管理研究[J].科技與創(chuàng)新，2015，18（13）：89-90.